JINX-0164 Grėsmės veikėjas
Anksčiau nedokumentuotas grėsmės veikėjas, identifikuotas kaip JINX-0164, surengė itin tikslinę kibernetinę kampaniją prieš kriptovaliutų organizacijas, naudodamas verbavimo tematikos socialinę inžineriją ir specialiai sukurtą „macOS“ kenkėjišką programą, kad pavogtų skaitmeninį turtą. Finansiškai motyvuota grupuotė, veikianti mažiausiai nuo 2025 m. vidurio, daugiausia dėmesio skyrė kūrėjams ir, bent vieno patvirtinto incidento metu, įvykdė programinės įrangos tiekimo grandinės pažeidimą.
Kampanijoje demonstruojamas pažangus apgaulingos verbavimo taktikos, kenkėjiškų programų diegimo ir gilaus įsiskverbimo į CI/CD aplinkas derinys. Kompromituodami darbuotojų darbo vietas, užpuolikai sėkmingai perėjo į kūrimo infrastruktūrą ir kodo platinimo sistemas, žymiai padidindami įsilaužimų mastą ir poveikį.
Turinys
Įdarbinimo sukčiavimas tampa patekimo tašku
JINX-0164 remiasi „LinkedIn“ profilių įtikinėjimu užmegzti ryšį su tiksliniais kūrėjais ir darbuotojais, dirbančiais su kriptovaliutomis susijusiose organizacijose. Aukos kviečiamos dalyvauti virtualiuose susitikimuose, rengiamuose nesąžiningose svetainėse, apsimetinėjančiose teisėtomis telekonferencijų platformomis.
Netikro susitikimo nustatymo proceso metu taikiniams nurodoma atsisiųsti tai, kas atrodo kaip susitikimo klientas arba techninis pataisymas. Iš tikrųjų atsisiųstas failas inicijuoja užkrato grandinę, iš netikro tvarkyklių platinimo domeno „apple.driver-store.com“ atkurdamas „Python“ pagrindu sukurtą „macOS“ informacijos vagystės ir nuotolinės prieigos Trojos arklį, vadinamą AUDIOFIX.
Užkrėtimo procesą palengvina „bash“ scenarijus, galintis identifikuoti aukos sistemos architektūrą, leidžiantis kenkėjiškai programai sklandžiai veikti tiek „Intel“, tiek „Apple Silicon macOS“ įrenginiuose. Naudingoji programa maskuojasi kaip sistemos garso tvarkyklė pavadinimu „coreaudiod“, yra saugoma lokaliai kaip „ChromeUpdater“ ir paleidžiama naudojant „macOS launchctl“ mechanizmus, kad būtų išlaikytas nuoseklumas.
AUDIOFIX leidžia giliai pažeisti sistemą
Įdiegus AUDIOFIX, ji atlieka išsamias kredencialų vagystės ir žvalgybos operacijas, kartu palaikydama šoninį judėjimą į vidinę infrastruktūrą. Tyrėjai pastebėjo, kad kenkėjiška programa buvo naudojama kenkėjiškiems failams įkelti į kūrimo sistemas ir modifikuoti šaltinio kodą, siekiant pažeisti papildomus galinius taškus ir gauti kriptovaliutų piniginės kredencialus.
Kenkėjiška programa gali pavogti įvairią slaptą informaciją, įskaitant:
- Slaptažodžių tvarkyklės kredencialai, naršyklės duomenys, „iCloud Keychain“ failai, SSH raktai, administratoriaus kredencialai, konsolės istorijos įrašai ir konfigūracijos failai
- Kriptovaliutų piniginių adresai, su kriptovaliutų paslaugomis susieti naršyklės plėtinių duomenys ir aktyvios sesijos iš „Discord“, „Slack“ ir „Telegram“
Be informacijos vagystės, AUDIOFIX taip pat palaiko nuotolinį komandų vykdymą, failų trynimą, naudingosios apkrovos pristatymą, žvalgybinę veiklą ir duomenų išgavimą iš užkrėstų sistemų.
„MiniRAT“ plečia grėsmę piktnaudžiaudama tiekimo grandine
Kitas svarbus operacijos komponentas yra „MiniRAT“ – „Go“ pagrindu sukurta užkarda, susieta su pažeistu npm paketu pavadinimu „@velora-dex/sdk“. Paketas buvo susietas su teisėtu decentralizuotų finansų įrankių rinkiniu, naudojamu žetonų mainams, delta prekybai ir limit pavedimams „VeloraDEX“ platformoje.
Kenkėjiška paketo versija iš nuotolinio serverio nuskaitė apvalkalo scenarijų, galiausiai įdiegdama specialiai „macOS“ skirtą „MiniRAT“ dvejetainį failą. Įdiegus kenkėjišką programą, užpuolikai galėjo įkelti failus, vykdyti savavališkas apvalkalo komandas ir atsisiųsti papildomus naudinguosius duomenis iš užpuoliko kontroliuojamos infrastruktūros.
JINX-0164 ne kartą naudojo socialinės inžinerijos taktiką, susijusią su netikromis įdarbinimo galimybėmis ir sufabrikuotomis techninėmis problemomis, dėl kurių aukos turėjo įdiegti apgaulingus programinės įrangos taisymus. Ši nuosekli metodologija pabrėžia, kad grupė didelį dėmesį skiria žmonių manipuliavimui kaip pagrindiniam įsilaužimo vektoriui.
Galimos sąsajos su Šiaurės Korėjos kibernetinėmis operacijomis
Kelios kampanijos ypatybės primena veiklą, anksčiau siejamą su Šiaurės Korėjos kibernetinių grėsmių grupuotėmis, tokiomis kaip „BlueNoroff“, „Contagious Interview“ ir „UNC1069“. Tyrėjai pastebėjo panašumų taikinių modeliuose, suklastotuose domenuose ir VPN paslaugų, tokių kaip „Astrill VPN“, naudojime.
Nepaisant šių sutapimų, tyrėjai nenustatė jokių patvirtintų infrastruktūros ryšių, tiesiogiai siejančių JINX-0164 su Šiaurės Korėjos valstybės remiamomis operacijomis. Dabartiniai duomenys rodo operacinius panašumus, o ne galutinį priskyrimą.
